CPUID官网被黑6小时：20款杀毒软件集体漏检，下载链接变成"特洛伊木马"

4月9日到10日之间，全球数百万依赖CPU-Z、HWMonitor等工具检测硬件的用户，在毫不知情的情况下点击了一个被篡改的下载按钮。6小时后，这个漏洞被修复，但种子已经播下。

CPUID.com的维护团队向BleepingComputer确认：一个次级API接口被攻破，主站随机展示恶意下载链接，而官方签名的原始文件本身未被污染。

这句话的潜台词是：你以为自己下载的是正版软件，实际上拿到的是包装精美的"特洛伊木马"——外壳合法，内核有毒。

攻击手法：DLL侧加载的"借壳上市"

卡巴斯基实验室还原了被篡改的四款软件版本：CPU-Z 2.19、HWMonitor Pro 1.57、HWMonitor 1.63、PerfMonitor 2.04。这些安装包并非完全伪造，而是采用了更隐蔽的"借壳"策略。

攻击者在合法签名的可执行文件旁，塞入一个名为CRYPTBASE.dll的恶意动态链接库。当用户启动软件时，Windows会优先加载同目录下的这个DLL文件，而非系统目录中的正版组件。

「这个恶意DLL负责命令与控制（C2）连接和后续载荷执行，」卡巴斯基在报告中指出，「在此之前，它还会执行一系列反沙箱检测，只有全部通过才会连接C2服务器。」

换句话说，如果你在虚拟机或分析环境中运行它，它会选择静默潜伏，绝不暴露真实意图。

内存驻留+EDR绕过：这不是脚本小子的作品

安全研究者vxunderground在分析后给出了一个判断：「这不是那种批量生产的平庸恶意软件。」

他的原话更直白：「当我开始用棍子捅它的时候，发现这东西被深度木马化了。」

Igor's Labs和vxunderground团队总结的恶意软件特征，读起来像一份"高级威胁行为者"的体检报告：从被攻陷的合法域名分发、文件伪装、多阶段加载、几乎完全在内存中运行，再到用.NET程序集代理NTDLL功能以绕过端点检测与响应（EDR）和杀毒软件。

最后这项技术值得拆开说：NTDLL是Windows内核与用户模式之间的桥梁，大多数安全软件会监控对它的调用。攻击者选择从.NET程序集"绕路"代理这些功能，相当于在安检口旁边挖了一条地下通道。

VirusTotal的检测数据显示，目前20款杀毒引擎已能识别该恶意软件。但这个数字的反面是：在攻击发生的6小时窗口期内，这些引擎集体沉默。

供应链攻击的"中间人"变体

这次事件不属于传统的软件供应链污染——代码仓库没被入侵，构建系统没被篡改，数字签名证书也没被盗。它更像一种"中间人"攻击的变体：攻击者没有碰软件本身，只是换了指向它的路标。

对于普通用户来说，这种攻击更难防范。你检查了文件签名，它有效；你从官网下载，域名正确；你甚至可能在下载前扫了VirusTotal，当时还是干净的。

CPUID的维护团队强调"原始文件未被 compromise"，这在技术层面成立，但在用户体验层面近乎诡辩。用户不关心服务器上的原始文件是否圣洁，他们关心的是自己硬盘里跑起来的那个进程。

一个值得追问的细节是：那个被攻破的"次级API"究竟是什么？是CDN配置、负载均衡规则，还是某个被遗忘的微服务？CPUID尚未披露，而攻击者显然找到了它。

硬件检测工具的用户画像很清晰：极客、玩家、IT运维、评测媒体。这群人通常自认为安全意识高于平均水平，却恰恰因为"我从官网下的"而放松了警惕。这次事件像一记耳光：官网≠安全，签名≠可信，习惯比知识更危险。

CPUID.com现已清理完毕。但那些在这6小时内完成下载安装的用户，有多少已经运行了恶意DLL？他们的C2连接记录又流向了哪里？